PPTP и L2TP на Mikrotik пропускает только по одному соединению, второе не подключается

Обсуждение оборудования и его настройки
Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

пробовал, результат тот же


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

 Это конфиг от еще одного юзера, который желает настраивать Микротик, не имея сил|способностей|желания разобраться с парочкой тэгов. Думаю, и с Микротиком будет то же...

Код: Выделить всё

interface bridge
add admin-mac=6C:3B:6B:00:8C:3B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=Gate3 wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] comment="\D1\EF\E0\F0\EA"
set [ find default-name=ether2 ] arp=proxy-arp comment=\
    "\CB\EE\EA\E0\EB\FC\ED\E0\FF \D1\E5\F2\FC" name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes interface=ether1 max-mru=1480 max-mtu=1480 mrru=\
    1600 name=pppoe-out1 password=***** user=*****
/interface l2tp-server
add name="L2TP to Client" user=user1
add name=l2tp-in1 user=user2
/interface pptp-client
add allow=mschap1,mschap2 connect-to=****** mrru=1600 name=stom3 \
    password=***** user=****
/interface pptp-server
add name=pptp-in1 user=
add name=pptp-in2 user=vvv
/ip neighbor discovery
set ether1 comment="\D1\EF\E0\F0\EA" discover=no
set ether2-master comment="\CB\EE\EA\E0\EB\FC\ED\E0\FF \D1\E5\F2\FC"
set bridge comment=defconf
/interface ethernet
set [ find default-name=ether4 ] arp=proxy-arp master-port=ether2-master \
    name=RTK
/interface ovpn-client
add certificate=us2stom3.crt_0 cipher=aes192 connect-to=***** \
    disabled=yes mac-address=02:0E:50:3C:AA:7C name=ovpn-out1 user=******
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=******** wpa2-pre-shared-key=\
    *******
/ip ipsec policy group
set
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=Vpn ranges=192.168.42.10-192.168.42.100
add name=Ovpn ranges=192.168.89.1-192.168.89.254
add name=PooL ranges=172.16.30.102-172.16.30.253
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/ppp profile
set *0 only-one=no
add change-tcp-mss=yes dns-server=10.0.0.20 local-address=172.16.30.101 name=\
    L2pt remote-address=PooL wins-server=10.0.0.20
add bridge=bridge change-tcp-mss=yes local-address=10.0.0.5 name=GSP \
    remote-address=Vpn use-compression=no use-mpls=no
add local-address=Ovpn name=Ovpn remote-address=Ovpn
set *FFFFFFFE local-address=192.168.89.1 only-one=no remote-address=Vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=******
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=10.0.0.5/24 comment=defconf interface=ether2-master network=\
    10.0.0.0
add address=******* interface=ether1 network=*******
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=10.0.0.0/24 comment=defconf gateway=10.0.0.5 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.0.0.5 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related src-address=10.0.0.6
add chain=input dst-port=1701 protocol=udp
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=icmp
add chain=input dst-port=8291 in-interface=ether1 protocol=tcp
add chain=input protocol=gre
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
add chain=input connection-state=established
add chain=forward disabled=yes p2p=fasttrack protocol=!tcp
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=ether1
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    10.0.0.0/24
add action=netmap chain=dstnat comment= dst-port=**** in-interface=\
    ether1 protocol=tcp to-addresses=10.0.0.1 to-ports=8081
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
/ip ipsec peer
add address=0.0.0.0/0 comment=client-to-site enc-algorithm=\
    aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-strict \
    local-address=0.0.0.0 policy-template-group=group1 secret="\DB\E5\F9\FC" \
    send-initial-contact=no
/ip route
add distance=1 gateway=******
add distance=1 dst-address=192.168.40.0/22 gateway=******
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
add interface=pppoe-out1 type=external
/ppp secret
add name=vpn password=******
add name=user1 password=***** profile=L2pt service=l2tp
add local-address=192.168.89.2 name=Home password=******* profile=GSP \
    remote-address=192.168.1.120 service=pptp
add local-address=192.168.89.5 name=stat1 password=***** profile=GSP \
    remote-address=192.168.1.122 service=pptp
add name=vvv password=**** profile=GSP service=pptp
add local-address=192.168.89.4 name=gsp password=***** profile=GSP \
    remote-address=192.168.1.123 service=pptp
add local-address=10.0.0.5 name=alex password=***** profile=GSP \
    remote-address=192.168.1.126 service=pptp
add name=user2 password=***** profile=L2pt service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=wlan1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=wlan1


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

пробовал, эффект тот же

 Это еще один конфиг от того же юзера, который желает настраивать Микротик, не имея сил|способностей|желания разобраться с парочкой тэгов. Думаю, и с Микротиком будет то же...

Код: Выделить всё

interface bridge
add admin-mac=6C:3B:6B:00:8C:3B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=Gate3 wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] comment="\D1\EF\E0\F0\EA"
set [ find default-name=ether2 ] arp=proxy-arp comment=\
    "\CB\EE\EA\E0\EB\FC\ED\E0\FF \D1\E5\F2\FC" name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes interface=ether1 max-mru=1480 max-mtu=1480 mrru=\
    1600 name=pppoe-out1 password=***** user=*****
/interface l2tp-server
add name="L2TP to Client" user=user1
add name=l2tp-in1 user=user2
/interface pptp-client
add allow=mschap1,mschap2 connect-to=****** mrru=1600 name=stom3 \
    password=***** user=****
/interface pptp-server
add name=pptp-in1 user=
add name=pptp-in2 user=vvv
/ip neighbor discovery
set ether1 comment="\D1\EF\E0\F0\EA" discover=no
set ether2-master comment="\CB\EE\EA\E0\EB\FC\ED\E0\FF \D1\E5\F2\FC"
set bridge comment=defconf
/interface ethernet
set [ find default-name=ether4 ] arp=proxy-arp master-port=ether2-master \
    name=RTK
/interface ovpn-client
add certificate=us2stom3.crt_0 cipher=aes192 connect-to=***** \
    disabled=yes mac-address=02:0E:50:3C:AA:7C name=ovpn-out1 user=******
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=******** wpa2-pre-shared-key=\
    *******
/ip ipsec policy group
set
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=Vpn ranges=192.168.42.10-192.168.42.100
add name=Ovpn ranges=192.168.89.1-192.168.89.254
add name=PooL ranges=172.16.30.102-172.16.30.253
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/ppp profile
set *0 only-one=no
add change-tcp-mss=yes dns-server=10.0.0.20 local-address=172.16.30.101 name=\
    L2pt remote-address=PooL wins-server=10.0.0.20
add bridge=bridge change-tcp-mss=yes local-address=10.0.0.5 name=GSP \
    remote-address=Vpn use-compression=no use-mpls=no
add local-address=Ovpn name=Ovpn remote-address=Ovpn
set *FFFFFFFE local-address=192.168.89.1 only-one=no remote-address=Vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=******
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=10.0.0.5/24 comment=defconf interface=ether2-master network=\
    10.0.0.0
add address=******* interface=ether1 network=*******
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=10.0.0.0/24 comment=defconf gateway=10.0.0.5 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.0.0.5 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related src-address=10.0.0.6
add chain=input dst-port=1701 protocol=udp
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=icmp
add chain=input dst-port=8291 in-interface=ether1 protocol=tcp
add chain=input protocol=gre
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
add chain=input connection-state=established
add chain=forward disabled=yes p2p=fasttrack protocol=!tcp
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=ether1
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    10.0.0.0/24
add action=netmap chain=dstnat comment= dst-port=**** in-interface=\
    ether1 protocol=tcp to-addresses=10.0.0.1 to-ports=8081
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
/ip ipsec peer
add address=0.0.0.0/0 comment=client-to-site enc-algorithm=\
    aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-strict \
    local-address=0.0.0.0 policy-template-group=group1 secret="\DB\E5\F9\FC" \
    send-initial-contact=no
/ip route
add distance=1 gateway=******
add distance=1 dst-address=192.168.40.0/22 gateway=******
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
add interface=pppoe-out1 type=external
/ppp secret
add name=vpn password=******
add name=user1 password=***** profile=L2pt service=l2tp
add local-address=192.168.89.2 name=Home password=******* profile=GSP \
    remote-address=192.168.1.120 service=pptp
add local-address=192.168.89.5 name=stat1 password=***** profile=GSP \
    remote-address=192.168.1.122 service=pptp
add name=vvv password=**** profile=GSP service=pptp
add local-address=192.168.89.4 name=gsp password=***** profile=GSP \
    remote-address=192.168.1.123 service=pptp
add local-address=10.0.0.5 name=alex password=***** profile=GSP \
    remote-address=192.168.1.126 service=pptp
add name=user2 password=***** profile=L2pt service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=wlan1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
add interface=wlan1


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Выключить временно ВСЕ правила фаерволла!!! И включать только то, что действительно нужно.
2. Удалить все PPtP, L2tp, ovpn и так далее.
3. Удалить все лишнее из конфига, нафиг!!!
4. Убрать все лишнее из маскараднга. Оставить только scr-nat и masquerade, без указания подсетей и интерфейсов. То есть сделать это правило как можно более общим.

Глядишь, все и заведется...


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

Ок, попробую, в понедельник сообщу результат.


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

А по какому мануалу подымать VPN?


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

Результата тот же - один пользователь подключается, остальные нет.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Увы, но удаленно трудно помочь. Собака зарыта где-то глубже.


Stompol
Сообщения: 19
Зарегистрирован: 08 сен 2016, 14:31

Но проблема то не нова, в сети куча подобных вопросов, но только ни одного дельного ответа, разве никто не сталкивался?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ни разу не сталкивался. Все работает, правда у меня больше 10 одновременных клиентов не было, но и с ними никаких проблем не было и нет.
На пальцах - обычно, когда клиент долго висит и не может подключиться, то это проблемы в получении IP адреса. Вот отсюда и нужно копать. Проблема может быть не только в микротике, но и в клиенте. Антивирус, фаерволл и так далее. Если есть где-то другой микротик в эксплуатации, попробуйте на нем поднять несколько коннектов к проблемному микротику и смотрите логи на обеих.


Ответить